連続で失礼いたします。
https://www.ap-siken.com/kakomon/31_haru/pm01.html
>ウ: 利用者に認証デバイス又は認証情報を配付する必要があるから
こちらのウを正解とする理由がわかりません。
スマートフォンを用いることで、ワンタイムパスワードを使った所有物認証、顔認証や指紋認証が可能です。また機能が少ない最低限の構成のPCであっても、少なくともワンタイムパスワードを用いる事は可能です。
ECサイトということですので、原則インターネットを利用できるユーザーが対象です。よって(ii)(iii)いずれの方法でも、認証デバイスも認証情報も特別に配付する必要はないはずです。したがってウの記載は誤り(配付する必要がない)だと思うのですが、なぜ正解になるのでしょうか。

金融機関などでは、今でもハードウェアトークンを配布している所もあります。
また出題の場面はECサイトです。利用者のリテラシーも千差万別です。運営者側の視点に立てばリテラシーレベルの低い方へ合わせるのも一理ないですかね？

いずれにしろ平成31年春の問題です。スマートフォンを用いたパスキー等の普及率も、現在と比べて格段に低かった頃という時代背景も無視できません。
※現在だって、利用できていない人は一定数いると思います。

自分にとっての当たり前は、必ずしも全体にとっての当たり前ではないですし、過去問演習をする以上、現代ではなく、当時はどのように考えられていたかの視点も持たないと納得できないことがありますよ。

この場合は、何も考えず消去法でいった方が気がラクです。

ありがとうございます。
おっしゃるとおり、調べたところ現在でもハードウェアを配付している所もあるみたいです。しかしながら、必ずしも所有物認証や生体認証をするのにこういったものの配付が必要、という事はなさそうです。
今回の選択肢は「配付する必要がある」と断言してしまっているのが引っかかるポイントでした。「配付が必要な場合がある」であれば完全に納得してウを選んでいたと思います。
6年前は一般的ではなかったからということで納得するしかなさそうですね。過去問を解くには現在と当時の常識を両方知る必要があり、かなり難しいですね…

まあ、現代だったらMicrosoft Authenticatorで入れれば（AmazonとかMFAに使えるし）？とかなるんでしょうけど、機種変とかしたら実質おだぶつ（設定端末情報を変えるのにややこしいものも多い）で、そのへんの管理とかサイト側でいちいちやってられんとかなると採用しにくいとかあるかもしれませんね。どんな扱い方しているんだか、iphoneが壊れただのなんだのってやっているようなのがそんなもんをMFAに採用した日には後が大変で仕方がない。
・・・とか、管理する側も想像してみると、実践的です。

なるほど、ありがとうございます。
クレーム対応なども考えて所有物認証と生体認証は難しい…と覚えておきます…。